Η γαλλική εθνική υπηρεσία κυβερνοασφάλειας ANSSI δήλωσε ότι η hacking ομάδα Nobelium, που υποστηρίζεται από την κυβέρνησης της Ρωσίας και ήταν υπεύθυνη για την περσινή επίθεση SolarWinds, στοχεύει γαλλικούς οργανισμούς από τον Φεβρουάριο του 2021.
Η ANSSI (συντομογραφία του Agence Nationale de la Sécurité des Systèmes d’Information) δεν έχει καθορίσει πώς οι hackers Nobelium κατάφεραν να παραβιάσουν λογαριασμούς email που ανήκαν σε γαλλικούς οργανισμούς. Ωστόσο, λέγεται ότι οι hackers χρησιμοποίησαν αυτούς τους λογαριασμούς για να στείλουν κακόβουλα emails που στοχεύουν ξένα ιδρύματα.
Δείτε επίσης: SPAR supermarket: Εκατοντάδες καταστήματα κλειστά λόγω κυβερνοεπίθεσης
Με τη σειρά τους, οι γαλλικοί δημόσιοι οργανισμοί ήταν επίσης στόχοι ψεύτικων emails, που αποστέλλονταν από servers που ανήκουν σε ξένες οντότητες. Οι ειδικοί πιστεύουν ότι και αυτοί οι servers έχουν παραβιαστεί από τους ίδιους hackers.
Η υποδομή που χρησιμοποιεί η hacking ομάδα Nobelium στις επιθέσεις κατά των γαλλικών οντοτήτων δημιουργήθηκε κυρίως με χρήση virtual private servers (VPS) από διαφορετικές εταιρείες hosting.
Σύμφωνα με την έκθεση της ANSSI, υπάρχουν κοινά στοιχεία στις τακτικές, τις τεχνικές και τις διαδικασίες που χρησιμοποιήθηκαν στις phishing επιθέσεις στους γαλλικούς οργανισμούς και στην επίθεση SolarWinds το 2020.
Για την αντιμετώπιση των επιθέσεων αυτής της ομάδας, η ANSSI συνιστά τον περιορισμό της εκτέλεσης συνημμένων email για τον αποκλεισμό κακόβουλων αρχείων.
Η γαλλική υπηρεσία ασφάλειας στον κυβερνοχώρο συμβουλεύει επίσης τους οργανισμούς που διατρέχουν κίνδυνο, να ενισχύσουν το Active Directory security (και ειδικότερα AD servers) χρησιμοποιώντας τον οδηγό της.
Δείτε επίσης: Η εταιρεία ενέργειας DMEA έχασε data 25 ετών από την κυβερνοεπίθεση
Η hacking ομάδα Nobelium στοχεύει οργανισμούς “υψηλού προφίλ“
Η Nobelium, η οποία έγινε πιο γνωστή μετά την περσινή supply chain επίθεση στη SolarWinds, που οδήγησε στην παραβίαση πολλών ομοσπονδιακών υπηρεσιών των ΗΠΑ, λέγεται ότι είναι το τμήμα hacking της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR). Είναι, επίσης, γνωστή ως APT29, The Dukes ή Cozy Bear.
Τον Απρίλιο, η κυβέρνηση των ΗΠΑ κατηγόρησε επισήμως το τμήμα SVR για την επίθεση στη SolarWinds.
Η εταιρεία κυβερνοασφάλειας Volexity συνέδεσε επίσης τις επιθέσεις με τον ίδιο παράγοντα απειλής, με βάση τις τακτικές που παρατηρήθηκαν σε περιστατικά από το 2018.
Τον Μάιο, το Microsoft Threat Intelligence Center (MSTIC) μοιράστηκε πληροφορίες σχετικά με μια phishing εκστρατεία της Nobelium, που στόχευε κυβερνητικούς φορείς από 24 χώρες σε όλο τον κόσμο.
Δείτε επίσης: Ξενοδοχεία της Nordic Choice χτυπήθηκαν από το Conti ransomware
Η Microsoft έχει, επίσης, αναφέρει τους τελευταίους μήνες ότι η Nobelium εξακολουθεί να στοχεύει την παγκόσμια IT αλυσίδα εφοδιασμού, έχοντας επιτεθεί σε 140 managed service παρόχους (MSPs) και παρόχους υπηρεσιών cloud. Οι hackers έχουν παραβιάσει τουλάχιστον 14 παρόχους από τον Μάιο του 2021.
Η Nobelium έχει, επίσης, προσπαθήσει να παραβιάσει κυβερνήσεις και ιδιωτικές εταιρείες στις ΗΠΑ και την Ευρώπη χρησιμοποιώντας ένα νέο backdoor με το όνομα FoggyWeb.
Πριν από δύο μήνες περίπου, η Microsoft αποκάλυψε ότι η Nobelium ήταν η πιο δραστήρια ρωσική ομάδα hacking μεταξύ Ιουλίου 2020 και Ιουνίου 2021.
Χθες, η Mandiant συνέδεσε τη συγκεκριμένη ομάδα με προσπάθειες παραβίασης κυβερνητικών και επιχειρηματικών δικτύων σε όλο τον κόσμο, με ένα νέο backdoor με το όνομα Ceeloader. Λέγεται ότι το Ceeloader έχει σχεδιαστεί για την ανάπτυξη περαιτέρω κακόβουλου λογισμικού και τη συλλογή ευαίσθητων πληροφοριών.
Πηγή: Bleeping Computer